目前,Logcheck发送了大量的电子邮件,像这样的消息
Jun 6 19:31:44 <hostname> kernel: [UFW BLOCK] IN=eth0 OUT= MAC=<mac-address> SRC=<source-ip> DST=<destination-ip> LEN=40 TOS=0x00 PREC=0x00 TTL=116 ID=28729 DF PROTO=TCP SPT=56681 DPT=80 WINDOW=16652 RES=0x00 ACK FIN URGP=0 根据这个问答,这个数据包被封锁,因为它是可选的。
拥有以下/etc/logcheck/ignore.d.server/ufw是否合理?
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ kernel: \[UFW BLOCK\].*ACK FIN.*
在我个人看来,logcheck是毫无价值的,应该被禁用(信噪比非常低,closures它的工作是非常广泛的,所以最好杀死它)。
如果你不同意这个观点,那么你通常可以忽略所有的信息。
(你的无视模式对我来说肯定是合理的。)
您不需要通知您的防火墙正在丢失stream量。
如果您在networking通信方面遇到困难,您应该足够聪明,自己查看防火墙日志。 除此之外,你应该testing你的防火墙,当你configuration它,以确保它允许你告诉它允许,并放弃一切。 之后监视它的日志实际上是多余的。
你这里的问题可能不是logcheck,但你已经在ufw中启用了日志loggingfunction(通过sudo ufw logging off禁用它)。
我认为在debugging时(例如,在ufw的初始设置过程中,如果遇到问题)切换日志是最合适的,然后在所有其他时间closures,以获得性能和简单性。 因此,logcheck根本就没有问题,只是打开一个特定types的日志的问题。